Полное руководство по установке и настройке BitrixVM на AlmaLinux 9
Пошаговая инструкция по развертыванию безопасного и оптимизированного окружения для 1С-Битрикс на виртуальном сервере с операционной системой AlmaLinux 9.
Перед началом работы
Это руководство поможет вам развернуть полнофункциональное и защищенное окружение для 1С-Битрикс. Все команды проверены на актуальной версии AlmaLinux 9.
Выбор хостинга и операционной системы
Timeweb Cloud
Для установки BitrixVM рекомендую использовать виртуальные серверы Timeweb Cloud с предустановленной AlmaLinux 9.
Важно: Выбирайте именно AlmaLinux 9.x, так как версия 10.x в настоящее время не поддерживается BitrixVM.
Перейти к регистрации в Timeweb
По ссылке доступны специальные условия для новых клиентов
Установка базовых инструментов и настройка безопасности
1 Установка актуальных обновлений и базовых пакетов
Первым делом подключаемся к серверу и устанавливаем все необходимые обновления и пакеты:
# Подключаемся к серверу по SSH
ssh root@ip_вашего_сервера
# Обновляем систему до последних версий пакетов
sudo dnf update -y
# Устанавливаем необходимые базовые пакеты
sudo dnf install -y wget curl sudo nano git unzip htop net-tools bash-completion
# Перезагружаем сервер для применения обновлений ядра
sudo reboot
2 Настройка SSH для повышенной безопасности
Настраиваем SSH для защиты от несанкционированного доступа:
# Резервное копирование оригинального конфига
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.backup
# Редактируем конфигурацию SSH
sudo nano /etc/ssh/sshd_config
Устанавливаем следующие параметры:
# Изменяем стандартный порт (выберите свой)
Port 2222
# Запрещаем вход под root
PermitRootLogin no
# Разрешаем аутентификацию только по ключу
PasswordAuthentication no
# Ограничиваем количество попыток входа
MaxAuthTries 3
ClientAliveInterval 300
# Разрешаем только определенных пользователей
AllowUsers ваш_пользователь
# Перезапускаем SSH службу
sudo systemctl restart sshd
# Проверяем, что конфигурация корректна
sudo sshd -t
3 Установка и настройка брандмауэра firewalld
# Устанавливаем firewalld
sudo dnf install -y firewalld
# Включаем и запускаем firewalld
sudo systemctl enable firewalld
sudo systemctl start firewalld
# Открываем необходимые порты для BitrixVM
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-service=ssh
sudo firewall-cmd --permanent --add-service=http
sudo firewall-cmd --permanent --add-service=https
sudo firewall-cmd --permanent --remove-service=ssh # Удаляем стандартный SSH
sudo firewall-cmd --permanent --add-port=2222/tcp # Добавляем новый порт
# Для BitrixVM дополнительные порты
sudo firewall-cmd --permanent --add-port=8890/tcp # PHPMyAdmin
sudo firewall-cmd --permanent --add-port=11211/tcp # Memcached
# Применяем изменения
sudo firewall-cmd --reload
# Проверяем открытые порты
sudo firewall-cmd --list-all
4 Установка и настройка fail2ban
# Устанавливаем fail2ban
sudo dnf install -y epel-release
sudo dnf install -y fail2ban
# Создаем конфигурационный файл для SSH
sudo nano /etc/fail2ban/jail.local
Добавляем следующее содержимое:
[sshd]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/secure
maxretry = 3
bantime = 3600
findtime = 600
ignoreip = 127.0.0.1/8
# Запускаем и включаем fail2ban
sudo systemctl enable fail2ban
sudo systemctl start fail2ban
# Проверяем статус
sudo fail2ban-client status
sudo fail2ban-client status sshd
5 Настройка параметров ядра
# Создаем файл с оптимизациями для веб-сервера
sudo nano /etc/sysctl.d/99-bitrix-optimization.conf
Добавляем следующие параметры:
# Оптимизация сетевых параметров
net.core.somaxconn = 65535
net.ipv4.tcp_max_syn_backlog = 65535
net.core.netdev_max_backlog = 65535
net.ipv4.tcp_rmem = 4096 87380 16777216
net.ipv4.tcp_wmem = 4096 16384 16777216
# Улучшение производительности TCP
net.ipv4.tcp_max_tw_buckets = 1440000
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 15
net.ipv4.tcp_syncookies = 1
# Увеличение диапазона локальных портов
net.ipv4.ip_local_port_range = 1024 65535
# Увеличение лимитов файлов
fs.file-max = 100000
# Применяем настройки
sudo sysctl -p /etc/sysctl.d/99-bitrix-optimization.conf
# Проверяем применение параметров
sudo sysctl -a | grep file-max
6 Установка и настройка auditd
# Устанавливаем auditd
sudo dnf install -y audit
# Запускаем и включаем службу
sudo systemctl enable auditd
sudo systemctl start auditd
# Настраиваем правила аудита
sudo nano /etc/audit/rules.d/audit.rules
Добавляем базовые правила мониторинга:
# Мониторинг критических файлов
-w /etc/passwd -p wa -k identity
-w /etc/group -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/gshadow -p wa -k identity
# Мониторинг системных вызовов
-a always,exit -F arch=b64 -S adjtimex -S settimeofday -k time-change
-a always,exit -F arch=b64 -S clock_settime -k time-change
# Мониторинг доступа к системным файлам
-w /etc/selinux/ -p wa -k MAC-policy
# Перезапускаем auditd для применения правил
sudo systemctl restart auditd
# Проверяем статус
sudo auditctl -l
7 Настройка мониторинга целостности файлов (AIDE)
# Устанавливаем AIDE
sudo dnf install -y aide
# Инициализируем базу данных AIDE
sudo aide --init
# Копируем новую базу данных
sudo cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz
# Тестируем проверку целостности
sudo aide --check
# Настраиваем ежедневную проверку через cron
echo "0 2 * * * /usr/sbin/aide --check" | sudo tee -a /var/spool/cron/root
Установка битриксового веб-окружения
После настройки базовой безопасности приступаем к установке BitrixVM:
# Скачиваем установочный скрипт BitrixVM
sudo wget -O /tmp/bitrix-env-9.sh http://repo.bitrix24.tech/dnf/bitrix-env-9.sh
# Даем права на выполнение
sudo chmod +x /tmp/bitrix-env-9.sh
# Запускаем установку
sudo /tmp/bitrix-env-9.sh
Примечание: Установка может занять 15-30 минут. В процессе скрипт запросит необходимую информацию для настройки окружения.
Тихая установка (альтернативный способ)
Для автоматической установки со всеми настройками используйте тихий режим:
sudo /tmp/bitrix-env-9.sh -s -p -H ваш-домен.ru -P -m 8.4 -M 'ВашНадежныйПароль123!'
Настройка автоматических обновлений безопасности
# Устанавливаем dnf-automatic
sudo dnf install -y dnf-automatic
# Настраиваем автоматические обновления
sudo nano /etc/dnf/automatic.conf
Устанавливаем следующие параметры:
[commands]
upgrade_type = security
random_sleep = 300
download_updates = yes
apply_updates = yes
[emitters]
emit_via = stdio
[email]
email_from = root@example.com
email_to = admin@example.com
email_host = localhost
# Включаем и запускаем автоматические обновления
sudo systemctl enable --now dnf-automatic.timer
# Проверяем статус таймера
sudo systemctl status dnf-automatic.timer
Настройка автоматически обновляемых SSL-сертификатов
# Настраиваем SSL сертификаты Let's Encrypt
sudo /opt/webdir/bin/bx-letsencrypt.sh
# Для автоматического обновления настраиваем cron
sudo crontab -e
Добавляем задание для автоматического обновления SSL:
# Автоматическое обновление SSL сертификатов каждый понедельник в 3:00
0 3 * * 1 /opt/webdir/bin/bx-letsencrypt.sh -q
Примечание: Перед настройкой SSL убедитесь, что ваш домен уже указывает на IP-адрес сервера.
Настройка систем мониторинга
Мониторинг ресурсов в реальном времени
# Установка утилит мониторинга
sudo dnf install -y htop iotop nmon iftop
# Просмотр нагрузки в реальном времени
sudo htop
sudo iotop
sudo nmon
Мониторинг логов
# Установка logwatch для анализа логов
sudo dnf install -y logwatch
# Настройка ежедневных отчетов
sudo nano /etc/logwatch/conf/logwatch.conf
Пример настройки email-отчетов:
Output = mail
Format = html
MailTo = admin@ваш-домен.ru
Range = yesterday
Отключение ненужных служб
# Отключаем неиспользуемые службы для повышения безопасности
sudo systemctl disable bluetooth
sudo systemctl disable cups
sudo systemctl disable avahi-daemon
sudo systemctl disable pcscd
# Останавливаем отключенные службы
sudo systemctl stop bluetooth
sudo systemctl stop cups
sudo systemctl stop avahi-daemon
sudo systemctl stop pcscd
# Проверяем список активных служб
sudo systemctl list-unit-files --type=service | grep enabled
Установка базовой антивирусной защиты
# Устанавливаем ClamAV антивирус
sudo dnf install -y clamav clamd clamav-update
# Обновляем антивирусные базы
sudo freshclam
# Настраиваем автоматическое обновление баз
sudo systemctl enable clamav-freshclam
sudo systemctl start clamav-freshclam
# Запускаем сканирование системы
sudo clamscan --recursive --infected /home/
# Настраиваем регулярное сканирование через cron
sudo crontab -e
Добавляем задание для ежедневного сканирования:
# Ежедневное сканирование в 1:00
0 1 * * * /usr/bin/clamscan --recursive --log=/var/log/clamav/scan.log /home/ /var/www/
Настройка завершена!
Вы успешно установили и настроили защищенное окружение BitrixVM на AlmaLinux 9. Теперь ваш сервер готов к работе и защищен от основных угроз.
Рекомендуемые дальнейшие действия:
- Настройте регулярное резервное копирование
- Установите и настройте веб-приложение 1С-Битрикс
- Настройте мониторинг доступности сайта
- Регулярно проверяйте логи безопасности
